如何禁用不安全的请求方式

最新推荐文章于 2025-05-07 08:44:03 发布
原创 最新推荐文章于 2025-05-07 08:44:03 发布 · 2.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了HTTP1.0和1.1版本中支持的请求方法,包括GET、POST、HEAD、PUT、DELETE等,并提供了在web.xml中禁用特定请求方法的配置示例。同时,强调了禁用请求后进行错误页面设置的重要性。
部署运行你感兴趣的模型镜像

HTTP请求1.0支持:post  get  head

HTTP请求1.1的时候支持了:put delete  options trace connect

可以自行禁止使用哪些请求,只需要在web.xml中添加配置信息:

<security-constraint>      不通过编程就可以限制对某个资源的访问
        <web-resource-collection>
            <url-pattern>/*</url-pattern>                  拦截所有的url
            <http-method>PUT</http-method>        禁止put请求
            <http-method>DELETE</http-method> 禁止delete请求
            <http-method>HEAD</http-method>      禁止head请求
            <http-method>OPTIONS</http-method>禁止options请求
            <http-method>TRACE</http-method>    禁止trace请求
            <http-method>CONNECT</http-method>禁止connect请求
            <http-method>POST</http-method>        禁止post请求(不建议)
            <http-method>GET</http-method>           禁止get请求(不建议)
        </web-resource-collection>
        <auth-constraint></auth-constraint>             授权约束
    </security-constraint>

这样就禁止了所有的请求方式。

如果<url-pattern>报错可以在:<web-app  的xmlns:xsi里添加:                         http://www.springmodules.org/schema/cache/springmodulescache.xsd
               http://www.springmodules.org/schema/cache/springmodulesehcache.xsd

在禁止了一部分请求后,如果再次发送改请求会有相应的错误产生,如:405,403。。。。

建议添加相应的报错页面否则容易暴露自己的tomcat、版本,项目信息,太不安全。

关于post  get  head put delete  options trace connect的相关作用请查阅官方文档

您可能感兴趣的与本文相关的镜像

Qwen-Image

Qwen-Image

图片生成
Qwen

Qwen-Image是阿里云通义千问团队于2025年8月发布的亿参数图像生成基础模型,其最大亮点是强大的复杂文本渲染和精确图像编辑能力,能够生成包含多行、段落级中英文文本的高保真图像

jam__zheng
关注
安全的HTTP方法
李同學的安全圈
05-07 2647
文章目录一、常见的HTTP请求方法如下二、请求方式安全隐患三、渗透攻击检测四、修复方案 一、常见的HTTP请求方法如下 GET:Get长度限制为1024,特别快,安全,在URL里可见,URL提交参数以 ?分隔,多个参数用 & 连接,请求指定的页面信息,并返回实体主体。 HEAD:类似于get请求,只过返回的响应中没有具体的内容,用于获取报头。 POST:长度一般无限制,由中间件限制,较慢,安全,URL里可见。请求的参数在数据包的请求body中。 PUT:向指定资源位置上传其最新内容。 DE
【优化】Nginx 配置页面请求走缓存 浏览器页面禁用缓存
m0_74823715的博客
01-06 755
要配置Nginx使其缓存内容,通常是指禁止浏览器缓存响应的内容,或者是在代理某些内容时让任何缓存机制生效。在你的Nginx配置中,如果你想要为整个服务器或特定的location配置缓存内容,你可以按照下面的方式进行修改。考虑到你的配置已经包含了多个location块,我们可以分别在需要的地方添加缓存的设置。这样设置后,所有从这个Nginx服务器发出的响应都会包含这些头信息,告诉浏览器和其他中间缓存设备要缓存内容。如果你希望整个服务器的所有请求都被缓存,可以在。是你要阻止缓存的具体路径。
禁止非SSL端口的CONNECT请求
Leon_Jinhai_Sun的博客
05-07 273
这是 Squid 代理服务器的一个访问控制规则,用于限制某些类型的 HTTP 请求。这是Squid配置中常见的安全最佳实践之一。
如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用安全的http方法
lionzl的专栏
09-14 3858
WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用安全的http方法 2017-03-06 13:39 1135人阅读 评论(0) 收藏 举报  分类: 服务器(3)  [轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/to
各中间件禁用安全的HTTP方法
02-10
### 各中间件禁用安全的HTTP方法 在网络安全防护体系中,中间件作为连接前端用户和后端服务的重要环节,其安全性至关重要。本文主要介绍如何在几种常见的中间件中禁用安全的HTTP方法,包括TOMCAT、IIS和JBOSS。...
关于HTTP协议禁用常用方法漏洞的解决方案.docx
08-07
### 关于HTTP协议禁用常用方法漏洞的解决方案 #### 漏洞概述 ...此外,除了禁用常用的方法外,还应当结合其他安全措施,如使用HTTPS加密通信、实施严格的访问控制策略等,以构建全面的安全防护体系。
ASP.NET中禁用单个控件请求验证的简便方法
此时,完全禁用整个页面的请求验证(通过设置`ValidateRequest="false"`在Page指令中)会带来较大的安全风险,并且符合最小权限原则。 因此,“ASP.NET禁用单个控件的请求验证”这一主题提供了一种更为精细和安全...
C#禁用U盘,影响其他设备
04-04
在Windows操作系统中,有时出于安全考虑或特定需求,我们需要禁用U盘等移动存储设备的使用,但同时又希望影响到其他的USB设备,比如鼠标、键盘或打印机等。C#编程语言提供了一种方法来实现这样的功能。本文将详细...
安全的http方法
热门推荐
秋水的博客
09-06 2万+
本章节所需工具burp和curl curl下载地址:https://curl.haxx.se/download.html 漏洞简介 什么是http方法? 根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。 HTTP1.0定义了三种请求方法: GET、POST、HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNEC...
34.安全的HTTP
weixin_30347335的博客
01-19 531
由于一些配置当或者方法错误,导致HTTP的安全大概有以下几种: ---------------------------------------------------------- 1.HTTP.sys远程代码执行漏洞(MS15-034) 2.安全的HTTP请求方法 3.HTTP响应拆分漏洞(CRLF注入) 4.HTTP慢速攻击 -----------------------...
4.1.HTTP网络请求原理
深情小建
09-18 791
HTTP是一种应用层协议,它通过TCP实现了可靠的数据传输,能够保证数据的完整性、正确性,而TCP对于数据传输控制的优点也能够体现在HTTP上,使得HTTP的数据传输吞吐量、效率得到保证。对于移动开发来说,网络应用基本上都是C/S架构,也就是客户端/服务器架构。客户端通过向服务器发起特定的请求,服务器返回结果,客户端解析结果,再将结果展示在UI上。客户端与服务器的交互如下图: 详细的交互流程有
springboot解决安全的HTTP请求方式安全漏洞
Think_and_work的博客
07-05 3254
springboot解决安全的HTTP请求方式安全漏洞
安全的 HTTP请求 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 5573
安全的 HTTP请求 漏洞原理以及修复方法
漏洞挖掘-安全的HTTP方法
weixin_48421613的博客
01-09 5616
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法,OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
TOMCAT禁用安全请求方式
weixin_30347335的博客
08-06 336
查看tomcat日志,发现有些请求方式是CONNECT、HEAD是正常的请求,决定禁掉这样的。在web.xml上加上下面代码可以禁掉这些请求方式,以这些方式请求服务tomcat将会返回403状态。 (加在tomcat/conf/web.xml下会对整个tomcat生效,加在单个项目下只会对这个项目生效) <security-constraint> &...
WebSphere应用服务器中https 请求协议的相关注意事项(服务器使用代理上Internet)
b129266314387022的博客
10-22 493
最近遇到个需求需要web服务器应用通过https方式请求外部Internet服务器的接口,一开始本地测试时使用以下代码: String businessCode = "SH30580"; GenerateXml xml = new GenerateXml(); String xmlContent = xml.writeXmlString(businessCode); ...
编写下载服务器。 第四部分:有效地实现HEAD操作
最佳 Java 编程
05-29 216
HEAD是一个经常被遗忘的HTTP方法(动词),其行为类似于GET,但会返回正文。 您使用HEAD来检查资源的存在(如果存在,它应该返回404),并确保您的缓存中没有陈旧的版本。 在这种情况下,您期望304 Not Modified ,而200表示服务器具有最新版本。 例如,您可以使用HEAD有效地实施软件更新。 在这种情况下, ETag是您的应用程序版本(生成,标记,提交哈希),并且您...
Cesium禁用默认请求
最新发布
07-18
### 完全禁用 Cesium 的默认网络请求 在某些离线或安全环境中,需要完全禁用 Cesium 的默认网络请求,以防止其加载外部图层、地形或其他资源。Cesium 默认使用 `Cesium.Resource` 类来处理网络请求,因此可以通过重写该类的方法来实现请求拦截和阻止。 #### 重写 `Cesium.Resource` 以阻止所有请求 可以通过拦截 `Cesium.Resource._createImage` 和 `Cesium.Resource._createXhr` 方法,直接拒绝所有图像和 XHR 请求。以下代码可实现这一目标: ```javascript const originalCreateImage = Cesium.Resource._createImage; Cesium.Resource._createImage = function(url, crossOrigin, deferred) { deferred.reject(new Error('All image requests are blocked.')); return; }; const originalCreateXhr = Cesium.Resource._createXhr; Cesium.Resource._createXhr = function(url, responseType, deferred, headers, overrideMimeType) { deferred.reject(new Error('All XHR requests are blocked.')); return; }; ``` 此方法可有效防止 Cesium 发起任何图像或数据请求,适用于完全离线运行的场景[^1]。 #### 初始化时禁用默认图层和地形请求 Cesium 默认会加载 Bing 地图图层和 Cesium World Terrain,这将触发网络请求。可以通过在创建 `Cesium.Viewer` 时禁用这些默认行为: ```javascript const viewer = new Cesium.Viewer('cesiumContainer', { imageryProvider: false, terrainProvider: false, baseLayerPicker: false, geocoder: false, timeline: false, animation: false, infoBox: false, selectionIndicator: false, homeButton: false, sceneModePicker: false, navigationHelpButton: false }); ``` 该配置确保 Cesium 会加载任何默认的在线影像图层或地形数据,从而避免网络请求的触发[^2]。 #### 替换默认图层为本地资源 如果仍需加载图像或地形数据,可以使用本地资源替代默认的在线图层。例如,使用本地图像作为底图: ```javascript var defaultImagery = new Cesium.ProviderViewModel({ name: "default", creationFunction: function () { return new Cesium.SingleTileImageryProvider({ url: "/images/earth.jpg", }); }, }); const viewer = new Cesium.Viewer("mapContainer", { selectedImageryProviderViewModel: defaultImagery, imageryProviderViewModels: [defaultImagery], terrainProviderViewModels: [], }); ``` 此方式可以替代默认的 Bing 图层,确保 Cesium 在离线环境下仍能正常显示地图内容[^4]。 #### 注意事项 - 禁用所有网络请求后,Cesium 将无法加载任何在线图层、模型或影像数据。 - 若需加载特定资源,应确保这些资源已本地化或通过本地服务器提供。 - 在某些情况下,未正确拦截网络请求可能导致控制台报错,需根据具体场景调整配置。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值